防火墙防火墙软件
防火墙软件 时间:2021-04-02 阅读:()
H3CV5平台防火墙维护指导日期:2013年4月杭州华三通信技术有限公司版权所有,未经授权不得使用与传播V5平台防火墙软件特性V5平台防火墙维护注意事项引入www.
h3c.
com2V5平台防火墙软件特性V5平台防火墙维护指导目录www.
h3c.
com3ComwareV5防火墙软件版本B70平台F5000AR3206/F1000ER3166/UTM(F1000-S-EI)R5116Web管理页面整改、域间策略、板卡支持4G内存B83平台F1000EF3169/F5000AF3207/UTM(F1000-S-EI)F5123双机热备配置同步、IPv6包过滤、链路聚合、GREP2MPB98平台F1000EF3171/F5000AF3210/F1000-X-XIR3721盒式产品支持SSLVPN、虚拟防火墙独立管理B108平台F1000EF3174/F1000-X-GE3725/F100-X-GR5136除负载均衡、会话加速、SSLVPN外,支持命令行配置板卡支持NAT444、支持新建连接数MIB节点www.
h3c.
com4防火墙管理方式选择遇Web页面打不开,先清浏览器缓存并开启"兼容性视图".
www.
h3c.
com5系统配置管理防火墙配置文件有CLI和Web共两个.
www.
h3c.
com6系统服务管理默认仅开启HTTP服务,端口号80.
设备默认产生的CA、Local证书仅满足基本SSL需求.
www.
h3c.
com7系统时间管理插卡类防火墙重启后时间会丢失推荐通过NTP服务同步系统时间注意准确配置系统时区www.
h3c.
com8链路聚合支持情况支持二层、三层聚合支持跨板聚合不支持动态聚合IRF2www.
h3c.
com9路由协议支持情况仅F5000A支持ISIS仅F5000A支持BFDOSPFISISPIMStaticRIPBGPwww.
h3c.
com10安全区域防火墙自身接口属于Local区域.
Management仅能与Management、Local区域互通.
新版本系统默认域间策略转发规则为全部阻断,老版本系统默认安全区域之间按照优先级进行转发.
B108平台支持"Any域",在根墙中代表除Management区域外其他全部安全区域,在虚墙中代表全部安全区域.
www.
h3c.
com11安全区域部署示例防火墙所有接口属于Local区域将某个接口加入安全区域代表该接口所连接网络属于该区域防火墙接收报文时,安全区域属性判定与转发模式有关与Vlan接口类似的还有Tunnel接口、VT接口等Management192.
168.
0.
0/24DMZ_A172.
16.
0.
0/24DMZ_B172.
16.
0.
0/24Trust10.
0.
0.
0/8G1/2G0/2G0/1G0/3G1/1G0/0V-ifZoneDMZV-ifZoneUntrustLocalAreawww.
h3c.
com12域间策略域间策略模块相对比较稳定.
注意资源对象、策略的配置方法.
注意策略与会话的关系.
善用域间策略以实现加固系统的目的.
www.
h3c.
com13慎用域间策略加速相同源、目的域之间有大量规则时使能才有意义.
域间策略加速后不能再修改域间策略,会引起策略失效.
先关闭加速、修改策略后再重新加速.
非特定测试类场景不启用该功能.
ACL加速与之类似.
www.
h3c.
com14会话表能够读懂会话表项中的每一项信息是安全工程师基本技能.
www.
h3c.
com15关联表关联表由ALG功能模块产生.
负责应用层地址转换、数据通道检测等重要功能.
www.
h3c.
com16会话/关联表项、域间策略、报文转发未开启"保存上一跳"功能,会话表项不决定如何转发报文.
开启"保存上一跳"功能,会话表项决定如何转发反向报文.
接收报文查找二三层转发表项、确定目的安全区域、创建会话表项是否匹配当前会话表或关联表某具体表项查找二三层转发表项后转发是否命中用户自定义域间策略按域间策略处理若过滤动作为允许则查找二三层转发表项后转发并创建会话表否则丢弃报文且不创建会话表项按默认策略处理是是否否www.
h3c.
com17合理调整会话表项老化时间同等条件下:会话老化时间调得比缺省值更短,防火墙并发连接数会减少;调得比缺省值更长,并发连接数会增加.
www.
h3c.
com18单向流检测、TCP会话长连接使能单向流检测功能,防火墙允许同一条流仅有单方向报文经过防火墙并建立会话表项.
但其会大大降低了防火墙的安全性.
仅在V5防火墙与其它设备组网且流量来回路径不一致时开启.
长连接会话,ACL条目越精细越好,老化时间越合理越好.
www.
h3c.
com19UserlogUserlog不仅要配置日志版本、日志主机,还要配置日志输出策略,否则防火墙不产生日志信息.
Userlog支持以二进制流格式或Syslog格式输出至日志主机.
www.
h3c.
com20报文异常检测安全区域为攻击报文来源区域.
ICMP不可达报文、ICMP重定向报文、Tracert报文建议不选.
www.
h3c.
com21流量异常检测安全区域为攻击来源区域.
仅TCPSYNFlood攻击防范支持Proxy功能.
www.
h3c.
com22虚拟分片重组仅对三层IP分片报文有效.
功能默认开启,安全区域为报文来源区域.
按默认配置估算,防火墙最大可处理IP报文为1500*16字节.
www.
h3c.
com23双机热备——会话同步与配置同步双机热备分为会话同步和配置同步两大主要功能配置同步目前仅支持自动同步,且必须在配置主设备上操作备份接口间支持跨IEEE802.
1Q交换机桥接备份接口支持内联万兆口www.
h3c.
com24NAT配置与双机热备双机热备组网中,两台防火墙配置NAT时需做好地址规划.
双机热备主备关系组网,须配置VRRP,并将NAT命令与VRRP组绑定.
注意地址池优先级.
涉及VPN-Instance的,配置NAT命令时也不能少.
www.
h3c.
com25虚拟防火墙虚拟防火墙不同虚墙之间的关系、及安全区域及域间策略.
虚拟防火墙与VRF(vpn-instance)之间的关系.
虚拟防火墙的会话表.
虚拟防火墙的登录、配置、管理.
www.
h3c.
com26SSLVPNSSLVPN基本特性B98平台合入功能,仅支持IP资源接入无需外接扩展卡或加密卡无需客户采购LicenseSecPathF5000A、SecBlade规格不支持支持WindowsXP/Vista/732bit/64bit操作系统支持IE6.
0/7.
0/8.
0/9.
032bit/64bit(later)浏览器环境本地可创建用户数参考1000(FW)/100(UTM)同时在线用户数参考100(FW)/50/(UTM)www.
h3c.
com27SSLVPN注意事项客户端软件需在操作系统及浏览器环境运行,须避免其对客户端软件的影响.
避免杀毒软件、360安全卫士等安全软件对SSLVPN客户端启动运行产生的影响.
www.
h3c.
com28不同型号防火墙软件特性细节差导产品手册详细记录了各型号设备对某软件特性的支持情况.
某软件特性在具体的产品型号上是否提供支持关于该软件特性的一些重要说明www.
h3c.
com29V5平台防火墙软件特性V5平台防火墙维护指导目录www.
h3c.
com30F5000A的绊脚石——buffer小上面三种场景在业务流量突出较多时容易出现转发丢包"以多欺少"、"以大欺小"要在组网规划时避免.
HASH不均可通过配置聚合链路逐包分担缓解.
5*1GE2*1GE10GE1GE2*1GElink-aggregation2*1GElink-aggregation"以多欺少""分赃不均""以大欺小"www.
h3c.
com31SecBladeII跨Vlan二层转发部署跨Vlan二层转发部署容易引起二层环路,不推荐.
VLAN20VLAN10VLAN20VLAN10www.
h3c.
com32双机热备那些事儿一条数据流不应同时经过形成双机热备关系的两台防火墙"支持非对称路径"和"不支持非对称路径"单卡每秒新建会话性能减半www.
h3c.
com33事故多发地段——ALG[H3C]undoalgallEnableallALGfunctiondnsEnablednsALGfunctionftpEnableftpALGfunctiongtpEnableGTPALGfunctionh323Enableh323ALGfunctionilsEnableilsALGfunctionmsnEnableMSNALGfunctionnbtEnablenbtALGfunctionpptpEnablePPTPALGfunctionqqEnableQQALGfunctionrtspEnablertspALGfunctionsccpEnableSCCPALGfunctionsipEnablesipALGfunctionsqlnetEnablesqlnetALGfunctiontftpEnableTFTPALGfunctionV5平台ALG模块已知问题较多,在维护过程中建议将不用的模块尽量关闭.
www.
h3c.
com34"两高"——HighCPU、HighMemory[H3C]displaycpu-usageUnitCPUusage:67%inlast5seconds55%inlast1minute60%inlast5minutes[H3C-hidecmd]displaycpu-usagetask=====CurrentCPUusageinfo=====CPUUsageStat.
Cycle:51(Second)CPUUsage:65%CPUUsageStat.
Time:2013-04-0306:20:39CPUUsageStat.
Tick:0x107(CPUTickHigh)0xaeb91808(CPUTickLow)ActualStat.
Cycle:0x0(CPUTickHigh)0xccdb530b(CPUTickLow)TaskNameCPURuntime(CPUTickHigh/CPUTickLow)VIDL30%0/b91b29fcTICK0%0/78640fSTMR4%0/895bf10DRVT4%0/8489d36TMSG0%0/331a42IPCB0%0/be3fbRPCQ0%0/36621eVP0%0/328ADJ60%0/8679IPCM0%0/f63aINFO55%0/c399OMS0%0/1a249----More----控制平面CPU使用率info-center进程占用率高[H3C]displaymemorySystemTotalMemory(bytes):3212817600TotalUsedMemory(bytes):3105304620UsedRate:96%内存占用率高主要由于会话表项数量多造成ComwareV5平台会话管理模块占用内存回收缓慢,紧急情况可通过重置会话表,即执行resetsession命令临时缓解和恢复(大流量下可能造成设备重启,需谨慎)www.
h3c.
com35SessionFlood类攻击分析与判断displaysessionstatisticsCurrentsession(s):2000298CurrentTCPsession(s):1993223Half-Open:1980032Half-Close:2543CurrentUDPsession(s):5692CurrentICMPsession(s):1380CurrentRAWIPsession(s):3Currentrelationtable(s):0Sessionestablishmentrate:65443/sTCPSessionestablishmentrate:63443/sUDPSessionestablishmentrate:1495/sICMPSessionestablishmentrate:505/sRAWIPSessionestablishmentrate:0/sReceivedTCP:51475234packet(s)875581044byte(s)ReceivedUDP:1153404packet(s)456559980byte(s)ReceivedICMP:4383187packet(s)561047936byte(s)ReceivedRAWIP:1130packet(s)42708byte(s)DroppedTCP:359965packet(s)33467904byte(s)DroppedUDP:213260packet(s)6535692byte(s)DroppedICMP:21578packet(s)179806byte(s)DroppedRAWIP:0packet(s)0byte(s)TCP半开会话比例异常TCP会话新建速率异常www.
h3c.
com36SessionFlood类攻击防范分析攻击类型查看防火墙会话表,分析攻击流量常见Flood类攻击包括源地址固定、目的地址固定等攻击流量的目的IP是否是防火墙自身大流量广播报文也要引起重视制定应对手段域间策略——实施精确打击黑名单——自身性能代价最小URPF——专克源IP地址欺骗攻击防范策略——根据管理员阈值配置抵御DoS流量www.
h3c.
com37多核CPU转发ComwareV5平台防火墙采用多核多线程CPU架构.
控制核与转发核逻辑分离.
转发线程默认使用逐包分担,可改为逐流分担.
www.
h3c.
com38吞吐量、快速转发表、会话加速ComwareV5平台防火墙默认开启IP快速转发.
默认配置,当会话表进入稳定状态后建立相应快转表.
[H3C-hidecmd]displayipfast-forwardingstatisticsIpfast-forwardingstate:enableIpfast-forwardingenableUpdatetime:5000msUpdatemaxnum:128Cacheused:validusedcaches:0waitfreecaches:0totalusedcaches:0Cachefreeing:currentfreecaches:0nextfreecaches:0idlefreecaches:0totalfreecaches:0Hashbucketnumber:4194304Hashbucketcapability:4Hashnohitbuckets:4194304Hashhitbuckets:0HashBucketsusestatistics(Capability:Number):----More----www.
h3c.
com39运行中重启问题[H3C-hidecmd]displayexception10verboseexceptioninfo(no:0)ExceptionNumber:0x20ExceptionName:NMIExceptionInstruction:0x81345B4CExceptionSlot:0ExceptionVCpu:0ExceptionTask:vt0(TID:75)ExceptionStackBase:0x804bbfe8ExceptionTime:2012-11-2807:25:36ExceptionTick:0x57(CPUTickHigh)0xa69ad3e7(CPUTickLow)Registercontents:Reg:zero,Val=0x00000000;Reg:at,Val=0x82cd0000;Reg:v0,Val=0x8205ff0c;Reg:v1,Val=0x8205ff04;Reg:a0,Val=0x81345b4c;Reg:a1,Val=0x014b3796;Reg:a2,Val=0x955dce28;Reg:a3,Val=0x00000101;Reg:t0,Val=0x014e7380;Reg:t1,Val=0x00000110;Reg:t2,Val=0x00000000;Reg:t3,Val=0x00000000;Reg:t4,Val=0x0000004d;Reg:t5,Val=0x001f001e;Reg:t6,Val=0x00015180;Reg:t7,Val=0x804bafc8;Reg:s0,Val=0x00d08df1;Reg:s1,Val=0x00000004;Reg:s2,Val=0x014b3767;Reg:s3,Val=0x00d08df2;Reg:s4,Val=0x00000101;Reg:s5,Val=0x00000100;及时收集堆栈信息,对定位重启类问题有关键性作用反馈组网拓扑、设备配置、诊断信息等www.
h3c.
com40让防火墙再快一点儿控制平面转发平面接收发送命中非稳态会话命中关联表会话需ALG处理需IPSecSA处理需GRE处理需L2TP处理需QoS处理快速转发表失效重建修改域间策略需防火墙本地处理……其它快转不支持报文F5000A主控板CPU非F5000AVCPU0(1)F5000A业务板FPGA非F5000AVCPU(1)2~NComwareV5防火墙产品型号不少,主要不同在产品形态、性能吞吐量、接口数量.
其软件平台特性和配置维护方法是共通的.
ComwareV5防火墙软件特性重点关注安全区域、域间策略、会话、攻击防范、双机热备等相互联系.
不要把防火墙简简单单地视为普通路由器.
小结杭州华三通信技术有限公司www.
h3c.
com
h3c.
com2V5平台防火墙软件特性V5平台防火墙维护指导目录www.
h3c.
com3ComwareV5防火墙软件版本B70平台F5000AR3206/F1000ER3166/UTM(F1000-S-EI)R5116Web管理页面整改、域间策略、板卡支持4G内存B83平台F1000EF3169/F5000AF3207/UTM(F1000-S-EI)F5123双机热备配置同步、IPv6包过滤、链路聚合、GREP2MPB98平台F1000EF3171/F5000AF3210/F1000-X-XIR3721盒式产品支持SSLVPN、虚拟防火墙独立管理B108平台F1000EF3174/F1000-X-GE3725/F100-X-GR5136除负载均衡、会话加速、SSLVPN外,支持命令行配置板卡支持NAT444、支持新建连接数MIB节点www.
h3c.
com4防火墙管理方式选择遇Web页面打不开,先清浏览器缓存并开启"兼容性视图".
www.
h3c.
com5系统配置管理防火墙配置文件有CLI和Web共两个.
www.
h3c.
com6系统服务管理默认仅开启HTTP服务,端口号80.
设备默认产生的CA、Local证书仅满足基本SSL需求.
www.
h3c.
com7系统时间管理插卡类防火墙重启后时间会丢失推荐通过NTP服务同步系统时间注意准确配置系统时区www.
h3c.
com8链路聚合支持情况支持二层、三层聚合支持跨板聚合不支持动态聚合IRF2www.
h3c.
com9路由协议支持情况仅F5000A支持ISIS仅F5000A支持BFDOSPFISISPIMStaticRIPBGPwww.
h3c.
com10安全区域防火墙自身接口属于Local区域.
Management仅能与Management、Local区域互通.
新版本系统默认域间策略转发规则为全部阻断,老版本系统默认安全区域之间按照优先级进行转发.
B108平台支持"Any域",在根墙中代表除Management区域外其他全部安全区域,在虚墙中代表全部安全区域.
www.
h3c.
com11安全区域部署示例防火墙所有接口属于Local区域将某个接口加入安全区域代表该接口所连接网络属于该区域防火墙接收报文时,安全区域属性判定与转发模式有关与Vlan接口类似的还有Tunnel接口、VT接口等Management192.
168.
0.
0/24DMZ_A172.
16.
0.
0/24DMZ_B172.
16.
0.
0/24Trust10.
0.
0.
0/8G1/2G0/2G0/1G0/3G1/1G0/0V-ifZoneDMZV-ifZoneUntrustLocalAreawww.
h3c.
com12域间策略域间策略模块相对比较稳定.
注意资源对象、策略的配置方法.
注意策略与会话的关系.
善用域间策略以实现加固系统的目的.
www.
h3c.
com13慎用域间策略加速相同源、目的域之间有大量规则时使能才有意义.
域间策略加速后不能再修改域间策略,会引起策略失效.
先关闭加速、修改策略后再重新加速.
非特定测试类场景不启用该功能.
ACL加速与之类似.
www.
h3c.
com14会话表能够读懂会话表项中的每一项信息是安全工程师基本技能.
www.
h3c.
com15关联表关联表由ALG功能模块产生.
负责应用层地址转换、数据通道检测等重要功能.
www.
h3c.
com16会话/关联表项、域间策略、报文转发未开启"保存上一跳"功能,会话表项不决定如何转发报文.
开启"保存上一跳"功能,会话表项决定如何转发反向报文.
接收报文查找二三层转发表项、确定目的安全区域、创建会话表项是否匹配当前会话表或关联表某具体表项查找二三层转发表项后转发是否命中用户自定义域间策略按域间策略处理若过滤动作为允许则查找二三层转发表项后转发并创建会话表否则丢弃报文且不创建会话表项按默认策略处理是是否否www.
h3c.
com17合理调整会话表项老化时间同等条件下:会话老化时间调得比缺省值更短,防火墙并发连接数会减少;调得比缺省值更长,并发连接数会增加.
www.
h3c.
com18单向流检测、TCP会话长连接使能单向流检测功能,防火墙允许同一条流仅有单方向报文经过防火墙并建立会话表项.
但其会大大降低了防火墙的安全性.
仅在V5防火墙与其它设备组网且流量来回路径不一致时开启.
长连接会话,ACL条目越精细越好,老化时间越合理越好.
www.
h3c.
com19UserlogUserlog不仅要配置日志版本、日志主机,还要配置日志输出策略,否则防火墙不产生日志信息.
Userlog支持以二进制流格式或Syslog格式输出至日志主机.
www.
h3c.
com20报文异常检测安全区域为攻击报文来源区域.
ICMP不可达报文、ICMP重定向报文、Tracert报文建议不选.
www.
h3c.
com21流量异常检测安全区域为攻击来源区域.
仅TCPSYNFlood攻击防范支持Proxy功能.
www.
h3c.
com22虚拟分片重组仅对三层IP分片报文有效.
功能默认开启,安全区域为报文来源区域.
按默认配置估算,防火墙最大可处理IP报文为1500*16字节.
www.
h3c.
com23双机热备——会话同步与配置同步双机热备分为会话同步和配置同步两大主要功能配置同步目前仅支持自动同步,且必须在配置主设备上操作备份接口间支持跨IEEE802.
1Q交换机桥接备份接口支持内联万兆口www.
h3c.
com24NAT配置与双机热备双机热备组网中,两台防火墙配置NAT时需做好地址规划.
双机热备主备关系组网,须配置VRRP,并将NAT命令与VRRP组绑定.
注意地址池优先级.
涉及VPN-Instance的,配置NAT命令时也不能少.
www.
h3c.
com25虚拟防火墙虚拟防火墙不同虚墙之间的关系、及安全区域及域间策略.
虚拟防火墙与VRF(vpn-instance)之间的关系.
虚拟防火墙的会话表.
虚拟防火墙的登录、配置、管理.
www.
h3c.
com26SSLVPNSSLVPN基本特性B98平台合入功能,仅支持IP资源接入无需外接扩展卡或加密卡无需客户采购LicenseSecPathF5000A、SecBlade规格不支持支持WindowsXP/Vista/732bit/64bit操作系统支持IE6.
0/7.
0/8.
0/9.
032bit/64bit(later)浏览器环境本地可创建用户数参考1000(FW)/100(UTM)同时在线用户数参考100(FW)/50/(UTM)www.
h3c.
com27SSLVPN注意事项客户端软件需在操作系统及浏览器环境运行,须避免其对客户端软件的影响.
避免杀毒软件、360安全卫士等安全软件对SSLVPN客户端启动运行产生的影响.
www.
h3c.
com28不同型号防火墙软件特性细节差导产品手册详细记录了各型号设备对某软件特性的支持情况.
某软件特性在具体的产品型号上是否提供支持关于该软件特性的一些重要说明www.
h3c.
com29V5平台防火墙软件特性V5平台防火墙维护指导目录www.
h3c.
com30F5000A的绊脚石——buffer小上面三种场景在业务流量突出较多时容易出现转发丢包"以多欺少"、"以大欺小"要在组网规划时避免.
HASH不均可通过配置聚合链路逐包分担缓解.
5*1GE2*1GE10GE1GE2*1GElink-aggregation2*1GElink-aggregation"以多欺少""分赃不均""以大欺小"www.
h3c.
com31SecBladeII跨Vlan二层转发部署跨Vlan二层转发部署容易引起二层环路,不推荐.
VLAN20VLAN10VLAN20VLAN10www.
h3c.
com32双机热备那些事儿一条数据流不应同时经过形成双机热备关系的两台防火墙"支持非对称路径"和"不支持非对称路径"单卡每秒新建会话性能减半www.
h3c.
com33事故多发地段——ALG[H3C]undoalgallEnableallALGfunctiondnsEnablednsALGfunctionftpEnableftpALGfunctiongtpEnableGTPALGfunctionh323Enableh323ALGfunctionilsEnableilsALGfunctionmsnEnableMSNALGfunctionnbtEnablenbtALGfunctionpptpEnablePPTPALGfunctionqqEnableQQALGfunctionrtspEnablertspALGfunctionsccpEnableSCCPALGfunctionsipEnablesipALGfunctionsqlnetEnablesqlnetALGfunctiontftpEnableTFTPALGfunctionV5平台ALG模块已知问题较多,在维护过程中建议将不用的模块尽量关闭.
www.
h3c.
com34"两高"——HighCPU、HighMemory[H3C]displaycpu-usageUnitCPUusage:67%inlast5seconds55%inlast1minute60%inlast5minutes[H3C-hidecmd]displaycpu-usagetask=====CurrentCPUusageinfo=====CPUUsageStat.
Cycle:51(Second)CPUUsage:65%CPUUsageStat.
Time:2013-04-0306:20:39CPUUsageStat.
Tick:0x107(CPUTickHigh)0xaeb91808(CPUTickLow)ActualStat.
Cycle:0x0(CPUTickHigh)0xccdb530b(CPUTickLow)TaskNameCPURuntime(CPUTickHigh/CPUTickLow)VIDL30%0/b91b29fcTICK0%0/78640fSTMR4%0/895bf10DRVT4%0/8489d36TMSG0%0/331a42IPCB0%0/be3fbRPCQ0%0/36621eVP0%0/328ADJ60%0/8679IPCM0%0/f63aINFO55%0/c399OMS0%0/1a249----More----控制平面CPU使用率info-center进程占用率高[H3C]displaymemorySystemTotalMemory(bytes):3212817600TotalUsedMemory(bytes):3105304620UsedRate:96%内存占用率高主要由于会话表项数量多造成ComwareV5平台会话管理模块占用内存回收缓慢,紧急情况可通过重置会话表,即执行resetsession命令临时缓解和恢复(大流量下可能造成设备重启,需谨慎)www.
h3c.
com35SessionFlood类攻击分析与判断displaysessionstatisticsCurrentsession(s):2000298CurrentTCPsession(s):1993223Half-Open:1980032Half-Close:2543CurrentUDPsession(s):5692CurrentICMPsession(s):1380CurrentRAWIPsession(s):3Currentrelationtable(s):0Sessionestablishmentrate:65443/sTCPSessionestablishmentrate:63443/sUDPSessionestablishmentrate:1495/sICMPSessionestablishmentrate:505/sRAWIPSessionestablishmentrate:0/sReceivedTCP:51475234packet(s)875581044byte(s)ReceivedUDP:1153404packet(s)456559980byte(s)ReceivedICMP:4383187packet(s)561047936byte(s)ReceivedRAWIP:1130packet(s)42708byte(s)DroppedTCP:359965packet(s)33467904byte(s)DroppedUDP:213260packet(s)6535692byte(s)DroppedICMP:21578packet(s)179806byte(s)DroppedRAWIP:0packet(s)0byte(s)TCP半开会话比例异常TCP会话新建速率异常www.
h3c.
com36SessionFlood类攻击防范分析攻击类型查看防火墙会话表,分析攻击流量常见Flood类攻击包括源地址固定、目的地址固定等攻击流量的目的IP是否是防火墙自身大流量广播报文也要引起重视制定应对手段域间策略——实施精确打击黑名单——自身性能代价最小URPF——专克源IP地址欺骗攻击防范策略——根据管理员阈值配置抵御DoS流量www.
h3c.
com37多核CPU转发ComwareV5平台防火墙采用多核多线程CPU架构.
控制核与转发核逻辑分离.
转发线程默认使用逐包分担,可改为逐流分担.
www.
h3c.
com38吞吐量、快速转发表、会话加速ComwareV5平台防火墙默认开启IP快速转发.
默认配置,当会话表进入稳定状态后建立相应快转表.
[H3C-hidecmd]displayipfast-forwardingstatisticsIpfast-forwardingstate:enableIpfast-forwardingenableUpdatetime:5000msUpdatemaxnum:128Cacheused:validusedcaches:0waitfreecaches:0totalusedcaches:0Cachefreeing:currentfreecaches:0nextfreecaches:0idlefreecaches:0totalfreecaches:0Hashbucketnumber:4194304Hashbucketcapability:4Hashnohitbuckets:4194304Hashhitbuckets:0HashBucketsusestatistics(Capability:Number):----More----www.
h3c.
com39运行中重启问题[H3C-hidecmd]displayexception10verboseexceptioninfo(no:0)ExceptionNumber:0x20ExceptionName:NMIExceptionInstruction:0x81345B4CExceptionSlot:0ExceptionVCpu:0ExceptionTask:vt0(TID:75)ExceptionStackBase:0x804bbfe8ExceptionTime:2012-11-2807:25:36ExceptionTick:0x57(CPUTickHigh)0xa69ad3e7(CPUTickLow)Registercontents:Reg:zero,Val=0x00000000;Reg:at,Val=0x82cd0000;Reg:v0,Val=0x8205ff0c;Reg:v1,Val=0x8205ff04;Reg:a0,Val=0x81345b4c;Reg:a1,Val=0x014b3796;Reg:a2,Val=0x955dce28;Reg:a3,Val=0x00000101;Reg:t0,Val=0x014e7380;Reg:t1,Val=0x00000110;Reg:t2,Val=0x00000000;Reg:t3,Val=0x00000000;Reg:t4,Val=0x0000004d;Reg:t5,Val=0x001f001e;Reg:t6,Val=0x00015180;Reg:t7,Val=0x804bafc8;Reg:s0,Val=0x00d08df1;Reg:s1,Val=0x00000004;Reg:s2,Val=0x014b3767;Reg:s3,Val=0x00d08df2;Reg:s4,Val=0x00000101;Reg:s5,Val=0x00000100;及时收集堆栈信息,对定位重启类问题有关键性作用反馈组网拓扑、设备配置、诊断信息等www.
h3c.
com40让防火墙再快一点儿控制平面转发平面接收发送命中非稳态会话命中关联表会话需ALG处理需IPSecSA处理需GRE处理需L2TP处理需QoS处理快速转发表失效重建修改域间策略需防火墙本地处理……其它快转不支持报文F5000A主控板CPU非F5000AVCPU0(1)F5000A业务板FPGA非F5000AVCPU(1)2~NComwareV5防火墙产品型号不少,主要不同在产品形态、性能吞吐量、接口数量.
其软件平台特性和配置维护方法是共通的.
ComwareV5防火墙软件特性重点关注安全区域、域间策略、会话、攻击防范、双机热备等相互联系.
不要把防火墙简简单单地视为普通路由器.
小结杭州华三通信技术有限公司www.
h3c.
com
美国多IP站群VPS商家选择考虑因素和可选商家推荐
如今我们很多朋友做网站都比较多的采用站群模式,但是用站群模式我们很多人都知道要拆分到不同IP段。比如我们会选择不同的服务商,不同的机房,至少和我们每个服务器的IP地址差异化。于是,我们很多朋友会选择美国多IP站群VPS商家的产品。美国站群VPS主机商和我们普通的云服务器、VPS还是有区别的,比如站群服务器的IP分布情况,配置技术难度,以及我们成本是比普通的高,商家选择要靠谱的。我们在选择美国多IP...
Megalayer美国服务器CN2优化线路30M带宽3独立IP限时月299元
Megalayer 商家算是比较新晋的国内主机商,主要方向是美国、香港、菲律宾等机房的独立服务器为主,以及站群服务器和显卡服务器。同时也有新增价格并不是特别优惠的VPS云服务器。上午的时候有网友问问有没有CN2线路的美国独立服务器的,这里我推荐他选择Megalayer看看,目前也是有活动截止到月底的。Megalayer 商家创办2年左右时间,如果我们初次使用建议月付体验。目前在进行且可能截止到6月...
宝塔面板企业版和专业版618年中活动 永久授权仅1888元+
我们一般的站长或者企业服务器配置WEB环境会用到免费版本的宝塔面板。但是如果我们需要较多的付费插件扩展,或者是有需要企业功能应用的,短期来说我们可能选择按件按月付费的比较好,但是如果我们长期使用的话,有些网友认为选择宝塔面板企业版或者专业版是比较划算的。这样在年中大促618的时候,我们也可以看到宝塔面板也有发布促销活动。企业版年付899元,专业版永久授权1888元起步。对于有需要的网友来说,还是值...
防火墙软件为你推荐
-
哈利波特罗恩升级当爸哈利波特中的赫敏为什么要喜欢罗恩,不喜欢哈利对对塔对对塔和魔方格那个是正宗的?硬盘工作原理硬盘是如何工作的access数据库access数据库主要学什么月神谭给点人妖。变身类得小说。百花百游百花净斑方多少钱一盒sss17.com为什么GAO17.COM网站打不开了haole16.com国色天香16 17全集高清在线观看 国色天香qvod快播迅雷下载地址dadi.tv1223tv影院首页地址是什么?1223tv影院在哪里可以找到?javlibrary.comImage Library Sell Photos Digital Photos Photo Sharing Photo Restoration Digital Photos Photo Albums